SlideShare uma empresa Scribd logo

Безопасност и защита на Web приложения

Transferir como PPTX, PDF
D
DiNikolo
1 de 18
БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ Изготвил: Димитър Николов, VI курс Специалност: ПИНФ – ДОВО, 9гр. Факултетен № 400295
Рисковете, на които уеб приложенията могат да бъдат изложени и как да се предпазите от тях Атаки срещу пропуски в сигурността на кода Атаки срещу сървъра Мрежови атаки Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 23.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
DoS Атаки (Denial of Service attacks) Flood (или Flood Feed / Наводнения ) Traffic Analysis (Sniffing) IP Hijack IP Spoofing Мрежови атаки Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 33.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
И още мрежови атаки Dummy DNS Server Dummy ARP Server Fuzzy Unreachable (dest_unreach, ICMP type 3) Host Spoofing Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 43.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Атаки срещу сървъра Denial of Service Trojan Horse Worms File Worms Virus Back Orifice (Net Bus, Masters of Paradise и др.). Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 53.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Видове DoS / Flooding SYN Flood ICMP Flood и Ping Flood DNS Flood DDoS Boink (Bonk, Teardrop) Pong Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 63.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
И още наводняване Smurf Ping of Death UDP Flood DNS HTTP Flood Land Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 73.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
SQL Injection Cross-site request forgery (CSRF) Hidden Fields Manipulation Cross Site Scripting (XSS) Malicious file execution Атаки срещу пропуски в сигурността на кода Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 83.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Какво да правим ??? Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 93.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Защита на сървъра и мрежата Периодична оценка на нуждите от сигурност Реверсивно прокси SSL Самоподписани сертификати Виртуализация Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 103.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Администрация на сайта • Контрол над административния достъп • Сигурни пароли • SFTP • Файлови права и разширения • Сигурност на базата данни • Резервни копия • Мониторинг на логовете • Следене на файловете за промени Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 113.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Защита на кода на сайта Общи проблеми в web приложенията 1. Невалидирани параметри 2. Грешки при контрола на достъпа 3. Грешки при контрола на сесиите и акаунтите 4. Cross-Site Scripting (XSS) уязвимости 5. Препълване на буфера Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 123.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
6. Злонамерено вмъкване на команди 7. Проблеми при обработка на грешки 8. Несигурно ползване на криптография 9. Грешки при отдалечено администриране 10. Грешки при конфигурация на web сървъра Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 133.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Добри практики 1. Не показвайте директно данни, идващи от потребителите. Филтрирайте и валидирайте или нормализирайте показваните данни 2. Изисквайте парола за извършване на важни действия. 3. Използвайте POST вместо GET, където е възможно. 4. Проверявайте Referrer на важните форми. 5. Подсигурете формите, чрез уникални данни в тях 6. Никога не ползвайте в SQL заявка данни, които не са предварително филтрирани и валидирани или нормализирани. 7. Използвайте Prepared queries. 8. Ограничавайте правата на потребителя, който ползвате за достъп до базата 9. При извикване на външни команди не ползвайте параметри, контролирани от потребителя, филтрирайте командите и параметрите. 10. Винаги инициализирайте променливите, които създавате. Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 143.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
11. Валидирайте разширенията на качваните от потребителите файлове и ги съхранявате в отделна, обезопасена директория. 12. Филтриране на изходящите връзки от сървъра. Не използвайте функции от тип include с данни контролирани от потребителя. 13. За код използвайте самo регистрираните файлови разширения. 14. Не пишете код, който разчита на включен register_globals при PHP. 15. Библиотеките се слагат извън web дървото или в недостъпна директория. Дефинирайте константи и ги проверявайте, за да сте сигурни, че файлът е извикан откъдето трябва 16. Всеки host трябва да работи под различен потребител 17. Ползване на частна директория за сесиите на потребителя 18. Пазете потребителските сесии в базата данни 19. Пишете проверки, които не могат да бъдат избегнати 20. Валидирайте всички данни, идващи от външен източник (потребители, db, файлове и т.н.) Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 153.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
21. Инициализирайте променливите си 22. Пишете код, който работи без грешки при error_reporting = E_ALL (за apache) 23. Разработвайте и тествайте в среда точно копие на средата в която ще работи сайта. 24. Внимавайте когато давате достъп до данни, предоставени от потребителя 25. Не съхранявайте конфиденциални данни на публично достъпни места 26. Ако нямате възможност да забраните разглеждането на дадена директория, направете файл index.php, index.aspx, index.htm и др. или .htaccess, който да пренасочи заявката към началната страница. 27. На работещ сайт записвайте грешките, но не ги показвайте на гледащия страницата 28. Всеки сайт трябва да работи с различен потребител (админ) и парола 29. Всеки потребител трябва да вижда само собствените си файлове 30. Логвайте всички грешки и проверявайте редовно лог файловете Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 163.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Заключение В заключение е важно да се спомене, че вместо да се фокусира вниманието върху определен вид защита, по-добре е да се насочат усилията към цялостно решение за сигурност, което напълно да защити данните и ресурсите на вашето приложение в дълбочина. Това решение трябва да включва автентикация и авторизация, солидна защита на данните и сигурност на периметъра на мрежата. Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 173.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
Ползвана литература: 1. Linux ръководство на мрежовия администратор - Кирх Олаф, Доусън Тери; 2. Linux Мрежови сървъри - Хънт Крейг; 3. Проектиране на мрежова сигурност – Мерике Каео 4. Компютърни Мрежи – Дебра Литълджон Шиндър 5. Източници и публикации от интернет. http://www.citforum.ru/security/internet/attack_book/toc.shtml http://www.citforum.ru/operating_systems/linux/iptables/index.shtml http://kiev-security.org.ua/box/15/index.shtml Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 183.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ

Recomendados

Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
Monika Petrova
 
RESTfulとは
RESTfulとはRESTfulとは
RESTfulとは
星影 月夜
 
"Content Security Policy" — Алексей Андросов, MoscowJS 18
"Content Security Policy" — Алексей Андросов, MoscowJS 18"Content Security Policy" — Алексей Андросов, MoscowJS 18
"Content Security Policy" — Алексей Андросов, MoscowJS 18
MoscowJS
 
MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...
MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...
MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...
Anis Koubaa
 
SSRF基礎
SSRF基礎SSRF基礎
SSRF基礎
Yu Iwama
 
Swaggerでのapi開発よもやま話
Swaggerでのapi開発よもやま話Swaggerでのapi開発よもやま話
Swaggerでのapi開発よもやま話
KEISUKE KONISHI
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Cisco Russia
 
富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案
FIDO Alliance
 

Recomendados

Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
Monika Petrova
 
RESTfulとは
RESTfulとはRESTfulとは
RESTfulとは
星影 月夜
 
"Content Security Policy" — Алексей Андросов, MoscowJS 18
"Content Security Policy" — Алексей Андросов, MoscowJS 18"Content Security Policy" — Алексей Андросов, MoscowJS 18
"Content Security Policy" — Алексей Андросов, MoscowJS 18
MoscowJS
 
MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...
MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...
MAVSec: Securing the MAVLink Protocol for Ardupilot and PX4 Unmanned Aerial S...
Anis Koubaa
 
SSRF基礎
SSRF基礎SSRF基礎
SSRF基礎
Yu Iwama
 
Swaggerでのapi開発よもやま話
Swaggerでのapi開発よもやま話Swaggerでのapi開発よもやま話
Swaggerでのapi開発よもやま話
KEISUKE KONISHI
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Cisco Russia
 
富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案
FIDO Alliance
 
APICのREST API入門
APICのREST API入門APICのREST API入門
APICのREST API入門
Takehiro Yokoishi
 
Azure Media Services 大全
Azure Media Services 大全Azure Media Services 大全
Azure Media Services 大全
Daiyu Hatakeyama
 
5G SDN/NFV/CNF
5G SDN/NFV/CNF5G SDN/NFV/CNF
5G SDN/NFV/CNF
James Ahn
 
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
株式会社クライム
 
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Kouhei Sutou
 
Prd005 クラウドで守る! exchange_onlin
Prd005 クラウドで守る! exchange_onlinPrd005 クラウドで守る! exchange_onlin
Prd005 クラウドで守る! exchange_onlin
Tech Summit 2016
 
構成情報データベースをGitで管理したいネットワーク運用者の憂鬱
構成情報データベースをGitで管理したいネットワーク運用者の憂鬱構成情報データベースをGitで管理したいネットワーク運用者の憂鬱
構成情報データベースをGitで管理したいネットワーク運用者の憂鬱
Yuya Rin
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
NGINX, Inc.
 
Vpn site to site
Vpn site to siteVpn site to site
Vpn site to site
IT Tech
 
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティスAWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
Amazon Web Services Japan
 
SSI Introduction
SSI IntroductionSSI Introduction
SSI Introduction
Jaehoon J Shim
 
バックアップとリストアの基礎
バックアップとリストアの基礎バックアップとリストアの基礎
バックアップとリストアの基礎
Kazuki Takai
 
(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation
Jintae Jeung
 
nginx入門
nginx入門nginx入門
nginx入門
Takashi Takizawa
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
 
Meraki Cloud Networking Workshop
Meraki Cloud Networking WorkshopMeraki Cloud Networking Workshop
Meraki Cloud Networking Workshop
Cisco Canada
 
Openflow実験
Openflow実験Openflow実験
Openflow実験
Yahoo!デベロッパーネットワーク
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
 
Point-Of-Sale Hacking - 2600Thailand#20
Point-Of-Sale Hacking - 2600Thailand#20Point-Of-Sale Hacking - 2600Thailand#20
Point-Of-Sale Hacking - 2600Thailand#20
Prathan Phongthiproek
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
интернет Yordan
интернет Yordanинтернет Yordan
интернет Yordan
vyapova
 
Os
OsOs
Os
guest1a210c
 

Mais conteúdo relacionado

Mais procurados

【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
株式会社クライム
 
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Kouhei Sutou
 
バックアップとリストアの基礎
バックアップとリストアの基礎バックアップとリストアの基礎
バックアップとリストアの基礎
Kazuki Takai
 
(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation
Jintae Jeung
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 

Mais procurados (20)

APICのREST API入門
APICのREST API入門APICのREST API入門
APICのREST API入門
 
Azure Media Services 大全
Azure Media Services 大全Azure Media Services 大全
Azure Media Services 大全
 
5G SDN/NFV/CNF
5G SDN/NFV/CNF5G SDN/NFV/CNF
5G SDN/NFV/CNF
 
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
【Veeam基礎】簡単解説!バックアップ可能な環境や機能をご紹介
 
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
Mroongaの高速全文検索機能でWordPress内のコンテンツを有効活用!
 
Prd005 クラウドで守る! exchange_onlin
Prd005 クラウドで守る! exchange_onlinPrd005 クラウドで守る! exchange_onlin
Prd005 クラウドで守る! exchange_onlin
 
構成情報データベースをGitで管理したいネットワーク運用者の憂鬱
構成情報データベースをGitで管理したいネットワーク運用者の憂鬱構成情報データベースをGitで管理したいネットワーク運用者の憂鬱
構成情報データベースをGitで管理したいネットワーク運用者の憂鬱
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
 
Vpn site to site
Vpn site to siteVpn site to site
Vpn site to site
 
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティスAWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
 
SSI Introduction
SSI IntroductionSSI Introduction
SSI Introduction
 
バックアップとリストアの基礎
バックアップとリストアの基礎バックアップとリストアの基礎
バックアップとリストアの基礎
 
(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation
 
nginx入門
nginx入門nginx入門
nginx入門
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
 
Meraki Cloud Networking Workshop
Meraki Cloud Networking WorkshopMeraki Cloud Networking Workshop
Meraki Cloud Networking Workshop
 
Openflow実験
Openflow実験Openflow実験
Openflow実験
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
 
Point-Of-Sale Hacking - 2600Thailand#20
Point-Of-Sale Hacking - 2600Thailand#20Point-Of-Sale Hacking - 2600Thailand#20
Point-Of-Sale Hacking - 2600Thailand#20
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 

Destaque

интернет Yordan
интернет Yordanинтернет Yordan
интернет Yordan
vyapova
 
интернет развитие
интернет развитиеинтернет развитие
интернет развитие
Kanio
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защита
Fatih Dmrl
 
упражнение контроли калкулатор
упражнение контроли калкулаторупражнение контроли калкулатор
упражнение контроли калкулатор
dnaidenowa
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христова
Ralica Hristova
 
Стартиране на софтуерен бизнес - пътят от програмата до продукта
Стартиране на софтуерен бизнес - пътят от програмата до продуктаСтартиране на софтуерен бизнес - пътят от програмата до продукта
Стартиране на софтуерен бизнес - пътят от програмата до продукта
Neven Boyanov
 
Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...
Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...
Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...
Glob@l Libraries - Bulgaria Program
 
Адаптация на Linux за ARM устройства
Адаптация на Linux за ARM устройстваАдаптация на Linux за ARM устройства
Адаптация на Linux за ARM устройства
Leon Anavi
 
Техническа обезпеченост на студентите за учене чрез мобилни технологии
Техническа обезпеченост на студентите за учене чрез мобилни технологииТехническа обезпеченост на студентите за учене чрез мобилни технологии
Техническа обезпеченост на студентите за учене чрез мобилни технологии
gjadkov
 

Destaque (20)

интернет Yordan
интернет Yordanинтернет Yordan
интернет Yordan
 
Os
OsOs
Os
 
Reup&Audit2
Reup&Audit2Reup&Audit2
Reup&Audit2
 
интернет развитие
интернет развитиеинтернет развитие
интернет развитие
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защита
 
упражнение контроли калкулатор
упражнение контроли калкулаторупражнение контроли калкулатор
упражнение контроли калкулатор
 
Презенация мини-семинар "Социални мрежи"
Презенация мини-семинар "Социални мрежи"Презенация мини-семинар "Социални мрежи"
Презенация мини-семинар "Социални мрежи"
 
хакери
хакерихакери
хакери
 
Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа Security
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христова
 
Стартиране на софтуерен бизнес - пътят от програмата до продукта
Стартиране на софтуерен бизнес - пътят от програмата до продуктаСтартиране на софтуерен бизнес - пътят от програмата до продукта
Стартиране на софтуерен бизнес - пътят от програмата до продукта
 
Chap4
Chap4Chap4
Chap4
 
Webit 2011 New Cloud Platform
Webit 2011 New Cloud PlatformWebit 2011 New Cloud Platform
Webit 2011 New Cloud Platform
 
Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...
Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...
Snezhana Filipova, Librarian at Obrazovanie Public Chitalishte in the village...
 
Адаптация на Linux за ARM устройства
Адаптация на Linux за ARM устройстваАдаптация на Linux за ARM устройства
Адаптация на Linux за ARM устройства
 
Presentation Ebrd February 1211
Presentation Ebrd February 1211Presentation Ebrd February 1211
Presentation Ebrd February 1211
 
Техническа обезпеченост на студентите за учене чрез мобилни технологии
Техническа обезпеченост на студентите за учене чрез мобилни технологииТехническа обезпеченост на студентите за учене чрез мобилни технологии
Техническа обезпеченост на студентите за учене чрез мобилни технологии
 
Os
OsOs
Os
 
\"Guerrilla Marketing\" в Интернет - Жанер Найденова
\"Guerrilla Marketing\" в Интернет - Жанер Найденова\"Guerrilla Marketing\" в Интернет - Жанер Найденова
\"Guerrilla Marketing\" в Интернет - Жанер Найденова
 
безопасност и защита на Big data димитърузунов
безопасност и защита на Big data димитърузуновбезопасност и защита на Big data димитърузунов
безопасност и защита на Big data димитърузунов
 

Semelhante a Безопасност и защита на Web приложения

Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в Интернет
eismail
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web application
karizka3
 
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiСигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Ilko Kacharov
 
Php security
Php securityPhp security
Php security
phristov
 
Защита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетЗащита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в Интернет
Anton Shumanski
 
Php sec referat
Php sec referatPhp sec referat
Php sec referat
Dido_mn
 

Semelhante a Безопасност и защита на Web приложения (20)

Защита при създаването на PHP-приложения
Защита при създаването на PHP-приложенияЗащита при създаването на PHP-приложения
Защита при създаването на PHP-приложения
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в Интернет
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummies
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web application
 
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiСигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
 
Защита при създаване на java прил.в интернет
Защита при създаване на java прил.в интернетЗащита при създаване на java прил.в интернет
Защита при създаване на java прил.в интернет
 
API Authentication
API AuthenticationAPI Authentication
API Authentication
 
Php security
Php securityPhp security
Php security
 
Drupal Security
Drupal SecurityDrupal Security
Drupal Security
 
Защита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетЗащита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в Интернет
 
Безопасност и защита при използване на Web-браузъри.
Безопасност и защита при използване на Web-браузъри.Безопасност и защита при използване на Web-браузъри.
Безопасност и защита при използване на Web-браузъри.
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
 
Open Free Security Software
Open Free Security SoftwareOpen Free Security Software
Open Free Security Software
 
Php sec referat
Php sec referatPhp sec referat
Php sec referat
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
 
Kursova 116679
Kursova 116679Kursova 116679
Kursova 116679
 
Drupal security lecture
Drupal security lectureDrupal security lecture
Drupal security lecture
 
11086 browser-security
11086 browser-security11086 browser-security
11086 browser-security
 
Защита при създаване на Java приложения в интернет
Защита при създаване на Java приложения в интернетЗащита при създаване на Java приложения в интернет
Защита при създаване на Java приложения в интернет
 
Php security
Php securityPhp security
Php security
 

Безопасност и защита на Web приложения

  • 1. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ Изготвил: Димитър Николов, VI курс Специалност: ПИНФ – ДОВО, 9гр. Факултетен № 400295
  • 2. Рисковете, на които уеб приложенията могат да бъдат изложени и как да се предпазите от тях Атаки срещу пропуски в сигурността на кода Атаки срещу сървъра Мрежови атаки Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 23.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 3. DoS Атаки (Denial of Service attacks) Flood (или Flood Feed / Наводнения ) Traffic Analysis (Sniffing) IP Hijack IP Spoofing Мрежови атаки Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 33.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 4. И още мрежови атаки Dummy DNS Server Dummy ARP Server Fuzzy Unreachable (dest_unreach, ICMP type 3) Host Spoofing Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 43.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 5. Атаки срещу сървъра Denial of Service Trojan Horse Worms File Worms Virus Back Orifice (Net Bus, Masters of Paradise и др.). Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 53.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 6. Видове DoS / Flooding SYN Flood ICMP Flood и Ping Flood DNS Flood DDoS Boink (Bonk, Teardrop) Pong Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 63.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 7. И още наводняване Smurf Ping of Death UDP Flood DNS HTTP Flood Land Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 73.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 8. SQL Injection Cross-site request forgery (CSRF) Hidden Fields Manipulation Cross Site Scripting (XSS) Malicious file execution Атаки срещу пропуски в сигурността на кода Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 83.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 9. Какво да правим ??? Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 93.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 10. Защита на сървъра и мрежата Периодична оценка на нуждите от сигурност Реверсивно прокси SSL Самоподписани сертификати Виртуализация Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 103.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 11. Администрация на сайта • Контрол над административния достъп • Сигурни пароли • SFTP • Файлови права и разширения • Сигурност на базата данни • Резервни копия • Мониторинг на логовете • Следене на файловете за промени Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 113.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 12. Защита на кода на сайта Общи проблеми в web приложенията 1. Невалидирани параметри 2. Грешки при контрола на достъпа 3. Грешки при контрола на сесиите и акаунтите 4. Cross-Site Scripting (XSS) уязвимости 5. Препълване на буфера Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 123.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 13. 6. Злонамерено вмъкване на команди 7. Проблеми при обработка на грешки 8. Несигурно ползване на криптография 9. Грешки при отдалечено администриране 10. Грешки при конфигурация на web сървъра Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 133.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 14. Добри практики 1. Не показвайте директно данни, идващи от потребителите. Филтрирайте и валидирайте или нормализирайте показваните данни 2. Изисквайте парола за извършване на важни действия. 3. Използвайте POST вместо GET, където е възможно. 4. Проверявайте Referrer на важните форми. 5. Подсигурете формите, чрез уникални данни в тях 6. Никога не ползвайте в SQL заявка данни, които не са предварително филтрирани и валидирани или нормализирани. 7. Използвайте Prepared queries. 8. Ограничавайте правата на потребителя, който ползвате за достъп до базата 9. При извикване на външни команди не ползвайте параметри, контролирани от потребителя, филтрирайте командите и параметрите. 10. Винаги инициализирайте променливите, които създавате. Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 143.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 15. 11. Валидирайте разширенията на качваните от потребителите файлове и ги съхранявате в отделна, обезопасена директория. 12. Филтриране на изходящите връзки от сървъра. Не използвайте функции от тип include с данни контролирани от потребителя. 13. За код използвайте самo регистрираните файлови разширения. 14. Не пишете код, който разчита на включен register_globals при PHP. 15. Библиотеките се слагат извън web дървото или в недостъпна директория. Дефинирайте константи и ги проверявайте, за да сте сигурни, че файлът е извикан откъдето трябва 16. Всеки host трябва да работи под различен потребител 17. Ползване на частна директория за сесиите на потребителя 18. Пазете потребителските сесии в базата данни 19. Пишете проверки, които не могат да бъдат избегнати 20. Валидирайте всички данни, идващи от външен източник (потребители, db, файлове и т.н.) Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 153.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 16. 21. Инициализирайте променливите си 22. Пишете код, който работи без грешки при error_reporting = E_ALL (за apache) 23. Разработвайте и тествайте в среда точно копие на средата в която ще работи сайта. 24. Внимавайте когато давате достъп до данни, предоставени от потребителя 25. Не съхранявайте конфиденциални данни на публично достъпни места 26. Ако нямате възможност да забраните разглеждането на дадена директория, направете файл index.php, index.aspx, index.htm и др. или .htaccess, който да пренасочи заявката към началната страница. 27. На работещ сайт записвайте грешките, но не ги показвайте на гледащия страницата 28. Всеки сайт трябва да работи с различен потребител (админ) и парола 29. Всеки потребител трябва да вижда само собствените си файлове 30. Логвайте всички грешки и проверявайте редовно лог файловете Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 163.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 17. Заключение В заключение е важно да се спомене, че вместо да се фокусира вниманието върху определен вид защита, по-добре е да се насочат усилията към цялостно решение за сигурност, което напълно да защити данните и ресурсите на вашето приложение в дълбочина. Това решение трябва да включва автентикация и авторизация, солидна защита на данните и сигурност на периметъра на мрежата. Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 173.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ
  • 18. Ползвана литература: 1. Linux ръководство на мрежовия администратор - Кирх Олаф, Доусън Тери; 2. Linux Мрежови сървъри - Хънт Крейг; 3. Проектиране на мрежова сигурност – Мерике Каео 4. Компютърни Мрежи – Дебра Литълджон Шиндър 5. Източници и публикации от интернет. http://www.citforum.ru/security/internet/attack_book/toc.shtml http://www.citforum.ru/operating_systems/linux/iptables/index.shtml http://kiev-security.org.ua/box/15/index.shtml Изготвил: Димитър Николов, VI курс , ПИНФ – ДОВО, 9гр Факултетен № 400295 183.4.2014 г. БЕЗОПАСНОСТ И ЗАЩИТА НА WEB ПРИЛОЖЕНИЯ